ACTUALITEEXPERIENCESUX UNDERLOCK

“Compliance fatigue” : le nouveau risque qui guette les RSSI

10/04/2025

“Compliance fatigue” : le nouveau risque qui guette les RSSI

Confrontés à une avalanche de réglementations, les responsables cybersécurité peinent à maintenir l’équilibre entre conformité et sécurité opérationnelle. Derrière la rigueur attendue des textes, un risque silencieux s’installe : celui de l’épuisement réglementaire.

NIS2, DORA, RGPD, AI Act, directive CER, loi de programmation militaire… La liste des textes encadrant la cybersécurité ne cesse de s’allonger. Pour les RSSI, cette inflation normative se traduit par une tension constante entre exigence de conformité et capacité d’exécution. Un phénomène que plusieurs professionnels nomment désormais “compliance fatigue”.

Un empilement de textes, une dispersion des efforts

L’ambition de l’Union européenne est claire : construire un socle robuste de cybersécurité à l’échelle du marché intérieur. Mais pour les organisations, chaque texte introduit de nouvelles obligations, de nouveaux périmètres, de nouveaux délais. Les RSSI doivent arbitrer : quel texte traiter en priorité ? Quels contrôles mettre en œuvre ? Quels budgets allouer ?

Cette dispersion crée une fragmentation des efforts, au détriment de la vision globale. « On passe plus de temps à recenser ce qui est exigé qu’à sécuriser les systèmes eux-mêmes », confie un RSSI d’un opérateur d’importance vitale.

Des équipes sous tension permanente

Au-delà du pilotage réglementaire, c’est l’ensemble de la chaîne de valeur cybersécurité qui se trouve sous pression. Les équipes doivent documenter les preuves de conformité, participer aux audits, suivre les mises à jour normatives, tout en maintenant le niveau de vigilance opérationnelle. La charge est continue, souvent sans renfort humain.

Cette dynamique crée un effet d’usure. Le risque n’est pas seulement organisationnel, il devient humain : perte de sens, désengagement, turnover. Certains RSSI expérimentés quittent leur poste pour des fonctions plus techniques ou moins exposées.

Un paradoxe : plus de conformité, moins de sécurité

À force de multiplier les reportings, les matrices d’écart, les grilles de contrôle, les entreprises bifurquent vers une cybersécurité de surface. La conformité devient une fin en soi, au détriment de la réduction effective des risques.

« Le vrai danger, c’est de croire qu’on est protégé parce qu’on est conforme », explique un expert de l’ANSSI. Or, la conformité ne protège pas, elle encadre. Elle ne remplace ni la détection, ni la résilience, ni l’intelligence de la menace.

Repenser la conformité comme levier de pilotage

Pour éviter la fatigue réglementaire, certaines entreprises restructurent leur approche :

    • Elles créent des cellules de veille réglementaire dédiées, distinctes du RSSI.
    • Elles adoptent des frameworks unifiés (ex : ISO 27001/NIST/NIS2/DORA) pour éviter les doublons.
    • Elles intègrent la conformité dans une stratégie de gouvernance des risques, et non comme un silo juridique.

L’enjeu est clair : transformer la conformité en outil de pilotage cyber, non en fardeau administratif.

Le rôle des institutions : clarifier, hiérarchiser, accompagner

Face à cette fatigue croissante, les autorités nationales ont un rôle à jouer. Il ne s’agit plus seulement de produire des textes, mais de :

  • Clarifier les périmètres applicables
  • Hiérarchiser les obligations selon les profils d’acteurs
  • Outiller les RSSI, via des référentiels opérationnels, des outils de diagnostic, ou des formations ciblées

La directive NIS2 prévoit la mise en place d’objectifs et de mesures de référence à l’échelle nationale. Encore faut-il qu’ils soient lisibles, compatibles avec les réalités du terrain, et soutenus par des moyens adaptés.

Un appel à l’équilibre

La cybersécurité n’est pas un exercice de conformité perpétuelle. Elle repose sur la maîtrise des systèmes, la connaissance des vulnérabilités, la capacité de réaction. Si la pression réglementaire devient trop forte, elle risque d’affaiblir la posture de sécurité au lieu de la renforcer.

Le rôle du RSSI n’est pas de gérer des textes, mais de protéger l’entreprise. Lui imposer un agenda réglementaire ininterrompu, c’est risquer de le détourner de sa mission principale. Dans un monde où les attaques sont plus rapides que les décrets, l’efficacité primera toujours sur la complétude.

Suivez nous:
Les derniers articles par LA REDACTION DE FRENCHWEB.FR (tout voir)
10/04/2025
Attirez les meilleurs profils de la tech : publiez vos offres sur le jobboard de FRENCHWEB.FR
© Copyright 2008 / 2025, DECODE MEDIA, The Innovation Media Company. All Rights Reserved
Bouton retour en haut de la page
“Compliance fatigue” : le nouveau risque qui guette les RSSI
Migration CRM : les 5 KPI à suivre pour ne pas saboter votre pipeline
Cartographier les risques de l’IA : une priorité stratégique pour les entreprises
Peut-on taxer Google sans se tirer une balle dans le pied ?
Travailleurs de première ligne : la grande oubliée de la transformation RH – Klara lève 10 millions d’euros
Faire taire ses équipes, un luxe que plus aucune entreprise ne peut se permettre
On n’industrialise pas l’IA avec des slides